Como posso usar a autenticação do Amazon Cognito para acessar os painéis do OpenSearch de fora de uma VPC?

Resolução

Para acessar os painéis do OpenSearch, use um túnel SSH, um proxy NGINX ou uma AWS Site-to-Site VPN.

Use um túnel SSH

Um túnel SSH fornece uma conexão segura pelo protocolo SSH, e todas as conexões usam a porta SSH. No entanto, um túnel SSH exige uma configuração do lado do cliente e um servidor de proxy.

Para obter mais informações, consulte Como posso usar um túnel SSH para acessar painéis do OpenSearch de fora de uma VPC com a autenticação do Amazon Cognito?

Use um proxy NGINX

Um proxy NGINX requer apenas uma configuração do lado do servidor e usa HTTP padrão (porta 80) e HTTPS (porta 443). No entanto, um proxy NGINX requer um servidor de proxy, e o nível de segurança da conexão depende de como você configura o servidor de proxy.

Para obter mais informações, consulte Como uso um proxy NGINX para acessar painéis do OpenSearch de fora de uma VPC que usa a autenticação do Amazon Cognito?

(Opcional) Se você ativou o controle de acesso refinado, adicione um perfil autenticado do Amazon Cognito

Se você ativar o controle de acesso refinado para seu cluster do OpenSearch Service, poderá receber um erro de missing role.

Para resolver o erro de missing role, conclua as seguintes etapas:

1. Abra o console do OpenSearch Service.
2. No painel de navegação, em Clusters gerenciados, escolha Domínios.
3. Escolha Ações e, em seguida, escolha Editar configurações de segurança.
4. Escolha Definir ARN do IAM como seu usuário principal.
5. Para IAM ARN, insira o nome do recurso da Amazon (ARN) autenticado pelo perfil Amazon Cognito do AWS Identity and Access Management (AWS IAM).
6. Escolha Enviar.

Para clusters existentes com controle de acesso refinado e acesso aos painéis do OpenSearch, é possível mapear o usuário do Amazon Cognito como o perfil de backend de um usuário interno. Também é possível mapear o usuário para o perfil all_access nos painéis do OpenSearch.

Conclua as seguintes etapas:

1. Abra o console do OpenSearch Service.
2. No painel de navegação, em Clusters gerenciados, escolha Domínios.
3. Faça login nos painéis do OpenSearch para seu cluster.
4. Selecione o perfil all_access.
5. Em Painéis, escolha Segurança e, em seguida, escolha Perfis/Usuários internos.
6. Em Perfis, selecione all_access ou selecione um usuário entre seus usuários internos.
7. Selecione Gerenciar mapeamento.
8. Para o perfil backend, insira o ARN do perfil do IAM autenticado do Amazon Cognito e escolha Map.
9. Em Editar configurações do cluster, ative a autenticação do Cognito para o grupo de usuários e bancos de identidades para seu perfil do IAM autenticada pelo Amazon Cognito.
   Observação: essa configuração causa uma implantação azul/verde.
10. Atualize o acesso ao cluster por meio de um proxy NGINX ou use o AWS VPN.

Para mais informações sobre controle de acesso refinado, consulte Tutorial: Configure um domínio com um usuário mestre do IAM e a autenticação do Amazon Cognito.

Use Site-to-Site VPN

Uma Site-to-Site VPN cria uma conexão segura entre seu equipamento on-premises e suas VPCs e usa TCP e UDP para uma VPN SSL/TLS. No entanto, uma conexão Site-to-Site VNP requer uma configuração de VPN e uma configuração do lado do cliente.

Observação: para permitir ou restringir o acesso aos recursos, modifique a configuração da rede VPC e os grupos de segurança associados ao domínio do OpenSearch Service. Para obter mais informações, consulte Como testar domínios VPC.

Informações relacionadas

Como soluciono problemas de autenticação do Amazon Cognito com OpenSearch Dashboards?

Configuração da autenticação do Amazon Cognito para painéis do OpenSearch

O erro “User: anonymous is not authorized” (Usuário: anônimo não está autorizado) é exibido quando tento acessar meu cluster do Amazon OpenSearch Service